Добрый день! У нас в конторе локалка на 6 компов, на 3х из них завелась вышеозначенная бяка. Как лечить - не знаю. И не знаю как она расползлась по компам в сети и как её расползание пресечь.
Остальные вири нод32 вроде как почистил.
Помогите, пожалуйста!
Вот файлы с одного компъютера. Если поможет, после лечения этого прицеплю файлы с других.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скачать IceSword http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip
. Запустить, выбрать File, откроется окно, в нем найти:
C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\System32\drivers\tcpsr.sys
C:\WINDOWS\System32\Drivers\Dpp45.sys
'C:\WINDOWS\System32\Drivers\Gao54.sys'
'C:\WINDOWS\System32\Drivers\Ulw08.sys'
'C:\WINDOWS\System32\Drivers\Vbp47.sys'
На каждом нажать force delete, согласиться с предупреждением о перезагрузке.
здесь есть инструкция как пользоваться:http://virusinfo.info/showthread.php?t=17228
Скачать IceSword http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip
. Запустить, выбрать File, откроется окно, в нем найти:
C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\System32\drivers\tcpsr.sys
C:\WINDOWS\System32\Drivers\Dpp45.sys
'C:\WINDOWS\System32\Drivers\Gao54.sys'
'C:\WINDOWS\System32\Drivers\Ulw08.sys'
'C:\WINDOWS\System32\Drivers\Vbp47.sys'
На каждом нажать force delete, согласиться с предупреждением о перезагрузке.
Нашёл только файл
C:\WINDOWS\system32\WinNt32.dll
Остальных не нашёл.
Таке случайно в глаза бросился файлик
C:\WINDOWS\system32\WinNt32.dl_
С ним что делать?
П.С. в логах нода вроде бы вируса более нет, т.к. до этого он после каждой перезагрузки определялся нодом.
П.П.С. Расскажите, пожалуйста, в чём зловредность данного червя?
Не удалился гаденыш, надо будет повторять операцию.
В мече удалить C:\WINDOWS\system32\Drivers\Jla87.sys
C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\system32\WinNt32.dl_
После этого надо это все дело грохнуть через AVZ. Скрипт нарисую. Только пока не перегружай компьютер.
Не удалился гаденыш, надо будет повторять операцию.
В мече удалить C:\WINDOWS\system32\Drivers\Jla87.sys
C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\system32\WinNt32.dl_
Этот малваре - из семейства Trojan-Downloader.Win32.Mutant
Я после того как запостил, ещё раз проглядел и как раз это дело нашёл:
C:\WINDOWS\system32\Drivers\Jla87.sys
Вручную прибил. Сегодня окажусь в той конторе, гляну что к чему.
А что такое малваре?
PS C:\WINDOWS\system32\WinNt32.dll - файл только с вирем? Или файл ОС, заражённый вирем?
Малваре - malware - троян, вирус, дроппер и прочее.
На сайте Олега Зайцева есть статья с классификацией.
Можно на www.viruslist.com посмотреть описание, либо в гугле имя, которое я написал набрать.
>>PS C:\WINDOWS\system32\WinNt32.dll - файл только с вирем? Или файл ОС, заражённый вирем?
Это про зверек, а его драйвер защищает. Будем ждать новые логи.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Что-то у тебя никак не получается. Придется повторить: теперь надо удалить Fcq43.sys и C:\WINDOWS\SYSTEM32\WinCtrl32.dll
WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
После каждого подтвердить, что будем делать перезагрузку.
затем сразу скрипт:
На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор. Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=24089 , как написано в прил. 3 правил, и повторите логи, начиная с п. 10 правил.
Downloader - собственно, и предназначен для закачки и установки по ( в данном случае, вредоносного ) на вашу машину.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: